Capaciteit voor Microsoft Defender for Identity-implementatie plannen
In dit artikel wordt beschreven hoe u het hulpprogramma Microsoft Defender for Identity kunt gebruiken om te bepalen of uw domeincontrollerservers voldoende resources hebben voor een Microsoft Defender for Identity sensor.
Hoewel de prestaties van de domeincontroller mogelijk niet worden beïnvloed als de server geen vereiste resources heeft, werkt de Defender for Identity-sensor mogelijk niet zoals verwacht. Zie vereisten voor Microsoft Defender for Identity voor meer informatie.
Met het hulpprogramma voor het aanpassen van de grootte wordt alleen de capaciteit gemeten die nodig is voor domeincontrollers. Het is niet nodig om het uit te voeren op AD FS/AD CS/Entra Connect-servers, omdat de prestatie-impact op deze servers uiterst minimaal is om niet te bestaan.
Tip
Defender for Identity ondersteunt standaard maximaal 350 sensoren. Als u meer sensoren wilt installeren, neemt u contact op met de ondersteuning van Defender for Identity.
Vereisten
- Download het hulpprogramma Defender for Identity-formaat.
- Lees het artikel Defender for Identity-architectuur .
- Lees het artikel Vereisten voor Defender for Identity .
Om nauwkeurige resultaten te garanderen, voert u het hulpprogramma voor grootte alleen uit voordat u Defender for Identity-sensoren in uw omgeving hebt geïnstalleerd.
Het hulpprogramma voor het aanpassen van de grootte gebruiken
Voer het hulpprogramma Defender for Identity-formaat uit,TriSizingTool.exe, vanuit het zip-bestand dat u hebt gedownload.
Wanneer het hulpprogramma is uitgevoerd, opent u de resultaten van het Excel-bestand.
Zoek en selecteer in het Excel-bestand het azure ATP-overzichtsblad en controleer vervolgens de kolom Sensor ondersteund op resultaten die aangeven of uw server wordt ondersteund.
Bijvoorbeeld:
Opmerking
Het andere blad in het bestand wordt gebruikt voor de planning van Advanced Threat Analytics (ATA) en is niet nodig voor Defender for Identity.
Het hulpprogramma voor grootten bepaalt of uw server wordt ondersteund op basis van de waarde Bezet pakketten/seconde , die wordt berekend op basis van de 15 drukste minuten gedurende een periode van 24 uur.
Veelvoorkomende resultaten zijn onder andere:
| Resultaat | Beschrijving |
|---|---|
| Ja | De sensor wordt ondersteund op uw server. |
| Ja, maar er zijn aanvullende resources vereist | De sensor wordt ondersteund op uw server zolang u opgegeven ontbrekende resources toevoegt. |
| Misschien | De huidige waarde bezet pakketten per seconde kan op dat punt aanzienlijk hoger zijn dan het gemiddelde. Controleer de tijdstempels om inzicht te hebben in de processen die op dat moment worden uitgevoerd en of u de bandbreedte voor deze processen onder normale omstandigheden kunt beperken. |
| Misschien, maar aanvullende resources vereist | De sensor kan worden ondersteund op uw server zolang u opgegeven ontbrekende resources toevoegt, of de pakketten Bezet per seconde kunnen hoger zijn dan 60.000. |
| Nee | De sensor wordt niet ondersteund op uw server. De huidige waarde bezet pakketten per seconde kan op dat punt aanzienlijk hoger zijn dan het gemiddelde. Controleer de tijdstempels om inzicht te hebben in de processen die op dat moment worden uitgevoerd en of u de bandbreedte voor deze processen onder normale omstandigheden kunt beperken. |
| Ontbrekende besturingssysteemgegevens | Er is een probleem opgetreden bij het lezen van de gegevens van het besturingssysteem. Zorg ervoor dat de verbinding met uw server op afstand een query kan uitvoeren op WMI. |
| Ontbrekende verkeersgegevens | Er is een probleem opgetreden bij het lezen van de verkeersgegevens. Zorg ervoor dat de verbinding met uw server op afstand prestatiemeteritems kan opvragen. |
| Ontbrekende RAM-gegevens | Er is een probleem opgetreden bij het lezen van de RAM-gegevens. Zorg ervoor dat de verbinding met uw server op afstand een query kan uitvoeren op WMI. |
| Ontbrekende kerngegevens | Er is een probleem opgetreden bij het lezen van de kerngegevens. Zorg ervoor dat de verbinding met uw server op afstand een query kan uitvoeren op WMI. |
In de volgende afbeelding ziet u bijvoorbeeld een reeks resultaten waarbij de Misschien aangeeft dat de waarde Bezet pakketten per seconde op dat punt aanzienlijk hoger is dan het gemiddelde. Houd er rekening mee dat dc-tijden weergeven als UTC/lokaal is ingesteld op Lokale DC-tijd. Met deze instelling kunt u benadrukken dat de waarden rond 3:30 uur zijn genomen.
Geschatte grootte van Defender for Identity-sensor
In de volgende tabel ziet u de geschatte CPU- en RAM-capaciteit die nodig is voor een Defender for Identity-sensor, op basis van de typische hoeveelheid netwerkverkeer die door een domeincontroller wordt gegenereerd.
Deze tabel is een schatting. De uiteindelijke hoeveelheid die de sensor parseert, is afhankelijk van de hoeveelheid verkeer en de verdeling van het verkeer.
| Bezet pakketten per seconde | CPU (fysieke kernen) | RAM (GB) |
|---|---|---|
| 0-1k | 0.25 | 2.50 |
| 1k-5k | 0.75 | 6.00 |
| 5k-10k | 1.00 | 6.50 |
| 10k-20k | 2.00 | 9.00 |
| 20k-50k | 3.50 | 9.50 |
| 50k-75k | 5.50 | 11.50 |
| 75k-100k | 7.50 | 13.50 |
In deze tabel:
CPU- en RAM-capaciteit verwijst naar het eigen verbruik van de sensor, niet naar de capaciteit van de domeincontroller.
De CPU-capaciteit bevat geen hyperthread-kernen. We raden u aan niet te werken met hyperthread-kernen, wat kan leiden tot statusproblemen in de Defender for Identity-sensor.
Houd bij het bepalen van de grootte rekening met het totale aantal kernen en de totale hoeveelheid geheugen die door de sensorservice wordt gebruikt.
Zie Resourcebeperkingen voor meer informatie.
Schatting van handmatige grootte voor domeincontrollers
Als u het hulpprogramma voor het aanpassen van de grootte niet kunt gebruiken, kunt u handmatig schatten of uw domeincontrollerservers in plaats daarvan voldoende resources hebben voor een Defender for Identity-sensor.
Verzamel handmatig de pakket-/tweede tellergegevens van al uw domeincontrollers, gedurende 24 uur met een laag verzamelingsinterval, zoals 5 seconden. Bereken voor elke domeincontroller het dagelijkse gemiddelde en de drukste periode (15 minuten).
Verschillende hulpprogramma's kunnen u helpen bij het detecteren van de gemiddelde pakket-/secondeteller voor uw domeincontroller. In deze procedure wordt een voorbeeld beschreven van het gebruik van Prestatiemeter om de relevante informatie te verzamelen.
Open Prestatiemeter en vouw Gegevensverzamelaarsets uit.
Klik met de rechtermuisknop op Door gebruiker gedefinieerd en selecteer Nieuwe > gegevensverzamelaarset.
Voer een beschrijvende naam in voor de verzameling met verzamelaars en selecteer Handmatig maken (geavanceerd).
Selecteer onder Welk type gegevens wilt u opnemen? de optie Gegevenslogboeken maken en Prestatiemeteritems.
Vouw Netwerkadapter uit en selecteer pakketten per seconde en de relevante werkruimte. Als u niet zeker weet welke werkruimte u moet selecteren, selecteert u <Alle werkruimten>. Selecteer OK toevoegen> om de stap te voltooien.
Als u deze stap uitvoert vanaf de opdrachtregel, voert
ipconfig /allu uit om de naam en configuratie van de adapter te zien.Wijzig het voorbeeldinterval in vijf seconden en definieer waar u de gegevens wilt opslaan.
Selecteer onder De gegevensverzamelaarset maken de optie Deze gegevensverzamelaarset nu> startenVoltooien.
U ziet nu de gegevensverzamelaarset die u hebt gemaakt, met een groene driehoek die aangeeft dat deze werkt.
Stop de gegevensverzamelaarset na 24 uur. Klik met de rechtermuisknop op de gegevensverzamelaarset en selecteer Stoppen.
Blader in Bestandenverkenner naar de map waarin het BLG-bestand is opgeslagen. Dubbelklik erop om het te openen in Prestatiemeter.
Selecteer de teller Pakketten per seconde en noteer de gemiddelde en maximumwaarden.
Opmerking
Defender for Identity ondersteunt standaard maximaal 350 sensoren. Als u meer sensoren wilt installeren, neemt u contact op met de ondersteuning van Defender for Identity.